中文

常见问题解答:ArcGIS 软件是否容易受到 CVE-2010-3599 影响?

问题

常见问题解答:ArcGIS 软件是否容易受到 CVE-2010-3599 影响?

答案

一些安全工具报告 ArcGIS 软件容易受到 CVE-2010-3599 影响:NCSEcw.dll ActiveX 控件中 WriteJPG() 方法中的错误可能被利用来覆盖任意文件或可能导致缓冲区溢出。 某些版本的 NCSEcw.dll 被用于渲染增强的小波压缩 (ECW) 栅格文件,在这些版本中可能会出现此问题。

这是误报。 利用 CVE-2010-3599 需要在 Esri 软件中将 NCSEcw.dll 注册为 COM 对象。 此 DLL 未在 ArcGIS Desktop、ArcGIS Engine 或 ArcGIS Enterprise 中被注册为 COM 对象。 ArcGIS 10.4 及更高版本中的 ECW DLL 没有 COM 接口(在更新版本中的 ECW SDK 版本是 5.2.1。) 旧版 ArcGIS 使用 ECW 4.x SDK;然而,ECW DLL 既未被注册也不使用 COM 接口,所以 ArcGIS/GDAL 安装无法利用此漏洞。

这可以被独立验证。 若要进行验证,请使用参考文档附录中的 HTML 来检查安装有 ArcGIS Desktop 和 ArcGIS Engine 的计算机。 例如,在运行 ArcGIS 10.2.2 的计算机上进行测试会返回以下消息:

未找到或无法加载“NCSEcw.NCSRenderer”
错误:自动化服务器无法创建对象
系统不易受到 CVE-2010-3599 影响。 无需进一步操作
User-added image

Related Information

上次修改时间: 9/21/2021

文章 ID: 000017723

软件: ArcGIS Pro 2.8.3, 2.8.2, 2.8.1, 2.8, 2.7.4, 2.7.3, 2.7.2, 2.7.1, 2.7, 2.6.7, 2.6.6, 2.6.5, 2.6.4, 2.6.3, 2.6.2, 2.6.1, 2.6, 2.5.2, 2.5.1, 2.5, 2.4.3, 2.4.2, 2.4.1, 2.4, 2.3.3, 2.3.2, 2.3.1, 2.3, 2.2.4, 2.2.3, 2.2.2, 2.2.1, 2.2, 2.1.3, 2.1.2, 2.1.1, 2.1, 2.0.1, 2.0, 1.4.1, 1.4, 1.3.1, 1.3, 1.2 ArcGIS Engine 9.3.1, 9.3, 9.2, 9.1, 9.0.1, 9.0, 10.8.1, 10.8, 10.7.1, 10.7, 10.6.1, 10.6, 10.5.1, 10.5, 10.4.1, 10.4, 10.3.1, 10.3, 10.2.2, 10.2.1, 10.2, 10.1, 10